ហេគឃ័រដ្ឋកេងចំណេញលើបញ្ហា Zero-Day នៅក្នុងកម្មវិធី Roundcube Webmail

ហេគឃ័រ Winter Vivern ត្រូវបានគេមើលឃើញថា កេងចំណេញលើបញ្ហា Zero-Day នៅក្នុងកម្មវិធី Roundcube Webmail កាលពីថ្ងៃទី១១ ខែតុលា ឆ្នាំ២០២៣ ដើម្បីប្រមូលសារពីគណនីជនរងគ្រោះ។អ្នកស្រាវជ្រាវសន្តិសុខ ESET បានថ្លែងថា ក្រុមចារកម្មតាមអ៊ីនធឺណិតបានបោះជំហានទៅប្រើបញ្ហា Zero-Day នៅក្នុងកម្មវិធី Roundcube Webmail ។ ក្រុមនេះប្រើប្រាស់ភាពងាយរងគ្រោះនៅក្នុងកម្មវិធី Roundcube និង Zimbra សម្រាប់ Proof-of-concept មាននៅលើអនឡាញ។ ក្រុមហេគឃ័រ Winter Vivern ក៏ត្រូវបានគេស្គាល់ថាជាក្រុម TA473 និង UAC-0114 ដែលជាអ្នកវាយប្រហារមានគោលបំណងដូចគ្នានឹងប្រទេស Belarus និងរុស្ស៊ី។

កាលពីប៉ុន្មានខែមុន ក្រុមនេះត្រូវបានប្រើឱ្យធ្វើការវាយប្រហារប្រឆាំងនឹងប្រទេសអ៊ុយក្រែន និងប៉ូឡូញ ក៏ដូចជាអង្គភាពរដ្ឋាភិបាលនៅអឺរ៉ុប និងឥណ្ឌាផងដែរ។ ក្រុមនេះត្រូវបានគេមើលឃើញថា បានកេងចំណេញលើបញ្ហាមួយផ្សេងទៀតនៅក្នុងកម្មវិធី Roundcube (CVE-2020-35730) សម្រាប់វាយប្រហារលើកម្មវិធី open-source webmail។

ភាពងាយរងគ្រោះថ្មីនៅក្នុង CVE-2023-5631 (CVSS score: 5.4) បានរក្សាទុកនូវកំហុស Cross-Site Scripting Flaw អាចអនុញ្ញាតឱ្យហេគឃ័រធ្វើការវាយប្រហារពីចម្ងាយបាន ដើម្បីចាប់ផ្តើមបំពានដោយប្រើប្រាស់ JavaScript Code ។ ចំពោះបញ្ហានេះគឺត្រូវបានដោះស្រាយ កាលពីដើមខែតុលា ឆ្នាំ២០២៣។ ខ្សែចង្វាក់វាយប្រហារដែលបង្កើតឡើងដោយក្រុមនេះ បានចាប់ផ្តើមដោយការប្រើ Phishing Message ដែលរួមបញ្ចូល Base64-Encoded Payload ចូលទៅក្នុង HTML Source Code ដែលប្រែ (Decodes) Javascript Injection ពីម៉ាស៊ីនមេ (Remote Server) តាមរយៈការប្រើប្រាស់បញ្ហា XSS ជាឈ្នាន់។

វិទ្យាស្ថាន Faou បានពន្យល់ថា តាមរយៈការផ្ញើសារអ៊ីមែលដែលបង្កើតជាពិសេសសម្រាប់បន្លំ ជាហេតុអាចឲ្យក្រុមហេគឃ័រធ្វើការបំពានដោយប្រើប្រាស់ JavaScript Code នៅក្នុង context នៃ browser window នៃកម្មវិធី Roundcube របស់អ្នកប្រើប្រាស់។ គ្មានអន្តរកម្មណាជាងការ View មើល Message នៅក្នុង Web Browser ត្រូវបានទាមទារនោះទេ។ JavaScript ដំណាក់កាលទី២ (checkupdate.js) គឺជា Loader​ មួយដែលជួយសម្របសម្រួលដំណើរការ JavaScript Payload ដំណាក់កាលចុងក្រោយ ដែលអនុញ្ញាតឱ្យហេគឃ័រច្រោះយកសារអ៊ីម៉ែល ដើម្បីបញ្ជា និងគ្រប់គ្រងទៅលើម៉ាស៊ីនមេដោយអាចប្រើប្រាស់ Command និង Control (C2)។ ជាងនេះទៀត វិទ្យាស្ថានក៏បានបន្តថា បើទោះជាហេគឃ័រមិនបានប្រើ Toolset ស្មុគសា្មញក្តី វាក៏ជាការគំរាមកំហែងចំពោះរដ្ឋាភិបាលនៅអឺរ៉ុប ដោយសារតែការតស៊ូ ដំណើរការយ៉ាងទៀងទាត់នៃយុទ្ធនាការបន្លំ និងដោយសារតែកម្មវិធីមួយចំនួនធំមិនបានធ្វើបច្ចុប្បន្នភាព ( Update ) ទៀងទាត់ទេបើទោះជាពួកគេបានដឹងពីចំណុចងាយរងគ្រោះក៏ដោយចុះ៕

ប្រភពព័ត៌មាន៖ ថ្ងៃទី២៥ ខែតុលា ឆ្នាំ២០២៣

ប្រែសម្រួលដោយ៖ កញ្ញា